Chiffrement matériel vs logiciel : comment protéger les mobiles ?
Le chiffrement, matériel ou logiciel, des appareils nomades est un des meilleurs moyens de sécuriser les données des smartphones et des tablettes. Quels sont leurs différences ?
Le chiffrement apporte une solution au problème de l’atteinte aux données, principal risque en cas de vol ou de perte d’un smartphone et d’une tablette.
Le chiffrement est un processus réversible qui brouille les données pour les transformer en texte chiffré : tout intrus qui tentera de lire les données ne verra que du texte incompréhensible. Selon une étude du Ponemon Institute, deux smartphones perdus sur trois contiennent des données commerciales confidentielles ou sensibles, ce qui rend le chiffrement des appareils mobiles d’autant plus important.
Pourtant, il serait vain si le propriétaire légitime de l’appareil ne pouvait plus en lire les données.
Un texte chiffré peut donc, en appliquant les mêmes algorithme (encodage) et clé (séquence binaire) au texte, reprendre sa forme originale. Notez bien que le texte chiffré n’est pas uniquement déchiffrable par le propriétaire de l’appareil, mais par quiconque connaît ou devine la clé.
La notion de chiffrement est comparable à un antivol de vélo. Si l’antivol est peu résistant et la combinaison simple, par exemple 1-2-3, vous empêcherez les vols opportunistes mais pas les vols prémédités. Une protection plus solide des données passera par un encodage plus élevé et des clés plus longues, comme la norme Advanced Encryption Standard (AES), avec ses clés à 256 bits.
Comment fonctionne le chiffrement des appareils mobiles ?
Sous iOS et depuis l’iPhone 3GS, tous les appareils Apple sont dotés d’un système de fichiers chiffré.
Ce système de fichiers réside dans la mémoire flash ; il contient le système d’exploitation et les données de l’utilisateur.
Les appareils iOS d’Apple brouillent tout ce qui est écrit en mémoire flash et déchiffrent ensuite ces données dans la mémoire principale pour les lire.
Sur le même sujet
Les clés du chiffrement matériel d’Apple combinent les numéros uniques du groupe et de l’appareil affectés en usine à l’appareil et le code secret de celui-ci. Tant que votre iPhone ou iPad est verrouillé, vos données et vos applications restent chiffrées. Une fois que vous avez saisi votre code secret, en revanche, toutes les données auxquelles vous accédez, pour les consulter ou pour les utiliser, sont automatiquement déchiffrées jusqu’à ce que l’appareil se reverrouille pour cause d’inactivité.
De nombreux autres appareils mobiles prennent en charge le chiffrement matériel, y compris les appareils Android récents, tous les téléphones BlackBerry, et tous les téléphones Windows Phone 7 (et plus) et les tablettes Windows.
Toutefois, dans le détail, le chiffrement matériel varie selon le système d’exploitation, la marque et le modèle de l’appareil.
Ainsi, le système d’exploitation Android prend en charge le chiffrement matériel. Toutefois, les caractéristiques physiques de la plupart des appareils actuellement utilisés interdisent tout chiffrement matériel, et les appareils Android qui prennent en charge ce chiffrement ont l’option désactivée par défaut.
Pour finir, pour activer le chiffrement matériel sur Android, vous devez d’abord verrouiller votre appareil avec un code secret ou confidentiel car une de ces valeurs sert à créer les clés de chiffrement.
Chiffrement logiciel
Les smartphones et les tablettes actuels prennent en charge le chiffrement logiciel en plus de la méthode matérielle.
Avec la méthode logicielle, un programme déterminé, par exemple un client de messagerie, un navigateur sécurisé, un coffre-fort numérique sécurisé ou autre, invoque des API fournies par le système d’exploitation ou les fonctions d’une bibliothèque tierce pour chiffrer et déchiffrer les données sélectionnées.
Contrairement au chiffrement matériel - qui brouille automatiquement tout ce qui est écrit en mémoire - le chiffrement logiciel brouille uniquement les données qu’une application déterminée décide de protéger. Le chiffrement matériel utilise les mêmes chiffre et clé pour chiffrer et déchiffrer toutes les données, alors que le chiffrement logiciel peut appliquer des protections différentes selon les données.
Pourquoi utiliser le chiffrement logiciel ?
Tout d’abord, parce qu'il est le seul disponible pour protéger les données enregistrées sur des appareils dépourvus du chiffrement matériel. Les applications d’auto-chiffrement de cette catégorie comprennent par exemple NitroDesk Touchdown et Good for Enterprise. Lorsqu’ils utilisent ces applications, les employés doivent saisir un code confidentiel ou un mot de passe supplémentaire à l’invite de l’application. Cette sécurité vient en plus de la saisie du code de déverrouillage du téléphone ou de la tablette qui sert à déchiffrer les données.
Ensuite, si un appareil prend en charge le chiffrement matériel, les applications d’autochiffrement apportent néanmoins un niveau de protection supplémentaire aux données sensibles comme les courriers électroniques professionnels, les pièces jointes, le carnet d’adresses et les documents. Par exemple, si plusieurs employés partagent la même tablette, chacun doit saisir son propre code confidentiel ou mot de passe pour l’application afin de déchiffrer les données chiffrées par logiciel.
En cas de départ d'un employé, le chiffrement logiciel peut permettre d’effacer les données chiffrées par logiciel ; vous n’avez pas besoin de rendre illisible toute la partition des données ou tout le système de fichiers de l’utilisateur.
Pensez aussi au chiffrement logiciel si la méthode matérielle ne répond pas à vos besoins en matière de sécurité. Si quelqu’un dérobe un appareil iOS, il pourrait utiliser un outil comme F/OSS Lantern Lite pour copier le contenu du système de fichiers, puis tenter de casser le code secret de l’appareil et de récupérer les données chiffrées par la méthode matérielle. Si toutes les informations sensibles présentes dans ce système de fichiers bénéficient de la protection logicielle supplémentaire, les données restent protégées des indiscrétions.
De la même manière, lorsque vous effacez à distance le contenu d’un appareil Android, vous ne faites que le ré-initialiser : les données sont récupérables post-mortem. L’ajout d’une couche de chiffrement logiciel robuste élimine ce risque.
Jouer sur les deux tableaux
Puisque le chiffrement matériel est faillible, pourquoi ne pas utiliser simplement le chiffrement logiciel ? Malheureusement, le chiffrement logiciel est par essence incomplet.
Certaines applications chiffrent leurs propres informations sensibles, mais ce n’est pas le cas de toutes. De plus, chaque développeur d’application a sa propre façon d’appliquer le chiffrement : même écrites avec les meilleures intentions du monde, certaines applications laissent fuiter des données ou protègent mal leurs propres clés de chiffrement. Le chiffrement matériel ajoute donc lui aussi une protection élémentaire au chiffrement logiciel.
C’est un peu comme fermer à clé la porte d’entrée du bâtiment. Si tous les employés ont un badge d’accès au bâtiment, un seul badge perdu entraîne un risque d’accès non autorisé. Mais si on ferme à clé les portes de tous les bureaux et qu’on équipe les zones sensibles de serrures plus robustes, la sécurité de chaque bureau reste assurée. Ces serrures supplémentaires empêchent les vols et limitent l’accès à chaque zone, tout comme le chiffrement logiciel ajoute une couche de protection aux différentes applications.
Bien sûr, de nombreux bâtiments sont ouverts au public et seules certaines zones sont sécurisées. De la même manière, les stratégies de chiffrement des appareils mobiles varient selon le type de l’appareil, son usage et son propriétaire.
Un équilibre délicat entre convivialité et sécurité
Sur les appareils qui appartiennent à l’entreprise, au contenu extrêmement sensible, vous pouvez exiger des codes secrets longs et forts avec chiffrement matériel.
Contenus Premium
En revanche, contentez-vous d’autoriser l’accès direct à Internet depuis les appareils personnels non chiffrés des utilisateurs. Pour renforcer le chiffrement matériel faible ou inexistant des appareils personnels, vous pouvez installer un simple client de messagerie à auto-chiffrement ou un navigateur sécurisé.
Vous concentrerez vos efforts sur la la stratégie de l’entreprise appliquée aux données professionnelles, laissant les utilisateurs libres de décider des mesures de protection à appliquer à leurs appareils personnels. Parfois, le chiffrement matériel n’est pas souhaitable, par exemple sur les tablettes en mode kiosque destinées aux clients.
En conclusion, tenez compte des différents usages et des différents appareils. Repérez toutes les données à protéger, puis choisissez la ou les méthodes de chiffrement les plus adaptés à vos appareils mobiles.
Gardez en tête que la longueur et la force du code confidentiel ou du mot de passe et le délai du verrouillage automatique influencent directement la facilité ou la difficulté avec laquelle un voleur en possession matérielle d’un appareil perdu ou volé pourra récupérer les données chiffrées.
Si possible, augmentez la sécurité avec l’aide du chiffrement par couche : préservez la facilité d’utilisation des données à accès fréquent et appliquez une protection plus rigoureuse aux données qui présentent un véritable risque commercial.